A equipa de investigação da Check Point descobriu várias vulnerabilidades no RDP (Remote Desktop Protocol), até agora considerado seguro que é utilizado por centenas de profissionais de TI e investigadores de segurança o qual permite a conexão a computadores remotos
|
As vulnerabilidades descobertas pela Check Point permitem que o ator malicioso altere a normal direção da comunicação e infete o profissional de TI ou os computadores da equipa de segurança. Este tipo de infeção pode permitir uma intrusão na rede de IT como um todo. Esta era, até ao momento, uma aplicação considerada confiável e segura. O Remote Desktop Protocol (RDP), também conhecido por “mstsc” inspirado no cliente RDP da Microsoft, é comumente utilizado por técnicos ou pelas equipas de TI para se conetarem em computadores remotamente. O RDP é um protocolo proprietário desenvolvido pela Microsoft e é normalmente utilizado quando um utilizador se quer conetar de forma remota a um dispositivo Windows. Também existem alguns clientes RDP open-source que são utilizados, principalmente por utilizadores Linux e Mac. O RDP tem diversas caraterísticas complexas, como por exemplo a compressão de vídeo em streaming, partilha de clipboards e encriptação multicamadas. A Check Point decidiu focar-se nas vulnerabilidades do protocolo e nas suas implementações mais populares. Num cenário normal, ao utilizar um cliente RDP a conexão é feita a um servidor RDP remoto, previamente instalado num computador remoto. Depois da conexão ter sido estabelecida com sucesso, consegue aceder-se e controlar o computador remoto, de acordo com as permissões previamente concedidas pelo utilizador. A Check Point propôs-se validar o cenário contrário e investigar se é, de facto, possível que o servidor RDP ataque e consiga controlar o computador do cliente RDP. Há vários cenários de ataque comuns nos quais o cibercriminosos conseguem obter permissões alargadas na rede, através do desenvolvimento de um ataque deste género, ao mesmo tempo que entra, de forma progressiva, na rede da organização. Um destes cenários pode acontecer por via de um ataque a um membro de TI que esteja conectado a uma estação de trabalho infetada dentro de uma rede corporativa conseguindo assim obter níveis de permissão alargados e acesso aos sistemas de rede. O segundo cenário identificado pela Check Point está relacionado com um ataque a um investigador de malware que esteja conectado a uma máquina sandbox virtual remota que contenha malware remoto. Isto permite que o malware escape da sandbox e se infiltre na rede corporativa. Apesar da qualidade de código variar de cliente para cliente, a Check Point acredita que o RDP é um protocolo complicado e propenso a vulnerabilidades. Como demonstrou através das Provas de Conceito de teste, tanto para Microsoft como para os clientes open-source, o servidor malicioso RDP é capaz de potenciar as vulnerabilidades dos clientes RDP para conseguir o código de execução remoto do computador dos clientes. Uma vez que a RDP é regularmente utilizada pelas equipas de TI e pelos colaboradores técnicos para se conetarem a computadores remotos, a Check Point recomenda que as empresas corrijam os seus clientes RDP. Para além disso, devido à natureza da exposição do clipboard demonstrada no caso da Microsoft, a Check Point recomenda também que os utilizadores desativem o canal de partilha do clipboard (ativo por defeito) sempre que se conetarem com um aparelho remoto. |
Receba todas as novidades na sua caixa de correio!
